WIPS为何必须检测非Wi-Fi无线LAN安全威胁?


虽然无线侵入预防系统(IPS)已经能够监控Wi-Fi频率,以防止流氓和错误配置的无线LAN接入点,但是一些企业也正在寻找无线IPS产品,这些产品可以扫描Wi-Fi频谱以外来自移动电话通信和其他无线设备的无线安全威胁。

Gartner Inc的副总裁著名分析师John Pescatore表示,无处不在的高级移动设备,如智能手机、平板电脑和内嵌3G无线网卡的笔记本电脑,特别容易使移动频率成为企业中数据泄露和定向攻击的威胁目标。

Pescatore说道,“很多诸如这样的公司都为员工的笔记本电脑配备了移动无线网卡……[结果发现]他们都将他们的笔记本带进大楼,然后连接到扩充口,从而连接到公司网络。由于员工位于公司防火墙之内,所以网络政策不允许他们浏览色情网站或eBay等等,但他们此时使用的无线网卡能绕过公司的安全控制。”

美国政府机关也正在寻找能够监控非Wi-Fi频段的无线IPS产品。监狱正在应对使用偷带手机的犯人。诸如国家安全部 (NSA)和国防部机关也想控制他们部门中的移动设备使用。

Pescatore表示,“NSA和国防部的工作人员正遭遇着这样的麻烦问题:让一个维修人员进入他们的大楼维修打印机,而该维修人员身上带着一个可以直接进行数据连接的手机。”

能够监控移动通信网络的无线IPS是很重要的

根据一博客及财富杂志评选的前30位零售商的首席网络管理员Andrew vonNagy的观点,供应商要在移动通信网络中实现检测和可视性是相当难的,而且可以实现的可视性往往是很有限的。

“我不敢肯定它们能否监控目前的GSM和CDMA频带,而且我也不敢肯定仅仅监控这些频率他们需要获得哪些管理许可,”他说道。“这些频率是授权给Verizons和AT&Ts的,因此您必须先拥有一个可以操作它们的许可。虽然识别在网络中通过这些频率对外发送的数据流量很有用,但是确定它是否属于您的网络是相当有难度的,因为这些网络通常都配置有自己的加密方式。

Pescatore表示,目前有许多严格的法规禁止制造和销售的设备监听移动语音通话。然而,无线IPS供应商可以开发经过批准的产品来检测出现的移动通信活动。特别地,这些产品可以使用无线IPS感应器确定在一个禁用此类设备的环境中的移动通信信号的位置。

即使在一个每位员工都拥有智能手机的公司中,无线IPS产品也能够强制将一个大楼某个特定区域指定为禁止使用移动通信设备。这些产品也提供了将大楼内设备加入一个白名单的功能,并且能够对不在清单上的任意设备进行审查跟踪。“如果发生了问题,他们可以查看设备的编码,”Pescatore说道。

随着机器到机器(M2M)技术变得越来越普遍,移动通信检测将只会变得越来越重要。

“小型的移动电话正被应用到不同的事物中来生成报告,”Pescatore说道。

“随着时间的推移,供应商可能会将它们安装到打印机和复印机中,这样它们可以发出更换墨盒的提示。这些都可能是您不允许在您大楼中使用的M2M功能。

无线IPS供应商必需关注的其他无线LAN安全威胁

除了移动通信威胁,vonNagy认为还有大量的其他无线LAN安全威胁是无线IPS解决方案必需使用更好的频段探测技术进行检测的。例如,基于传统802.11标准开发的遗留硬件可能会使用跳频Wi-Fi和红外线Wi-Fi进行通信。无线IPS产品进行调整以探测这些使用遗留技术的流氓AP。无线IPS产品也应该进行调整以探测某个国家官方禁止部署Wi-Fi设备的Wi-Fi频率上的无线活动。

vonNagy表示,“您可能希望获得一些警报,警告有Wi-Fi运行在诸如4r.9 GHz公共安全频带的非标准频率上,或者警告有一些无线频率运行在您所运营的合法域之外。在美国,Wi-Fi使用2.4 GHz频带的1至11频道。日本则使用14频道。因此,如果有人购买了一个日本的接入点,并将它设置在14频道上,那么您的探测器就探测不到它,因为它们一定不会扫描这个频道。”

Cisco Systems最近对它的所有无线LAN接入点(AP)进行了一个软件升级:Enhanced Local Mode (ELM)。ELM允许Cisco AP作为无线客户端提供服务,同时作为Cisco Adaptive Wireless IPS的探测器。大多数无线LAN解决方案要求用探测设备覆盖整个网络。Cisco将ELM更新定位为:通过使用现有AP而非独立探测器,为企业节省无线LAN安全奖金费用的一种方法。

Cisco的ELM升级还为安装了基于Cisco CleanAir 技术的具备高级频段分析功能Aironet 3500 AP的客户提供了一种附加的好处。根据Cisco移动解决方案主管Chris Kozup的观点,通过将ELM功能与3500 AP的频段智能进行整合,企业就可以获得非Wi-Fi安全威胁的警报。

他还表示,“企业现在可以获得更广泛地监控发生在蓝牙端或者RF[无线频率]上的拒绝服务干扰攻击。所有这些非Wi-Fi活动都可能成为安全威胁——我们是目前行业中唯一能够检测和发出警报的。

Pescatore表示,虽然Cisco的 CleanAir AP无法检测移动通信信号,但是其他无线IPS供应商正在朝这个方向努力。他同时还表示,AirPatrol Corp.已经获得了政府资助,致力于开发一个能够同时扫描Wi-Fi和移动通信活动的无线IPS产品

相关内容